Lastpass-browserudvidelsessårbarhed afsløret: hvordan man forbliver sikker

En af de mest populære Passwordadministratorer LastPass står over for alvorlige problemer med dens browserudvidelser, da flere sårbarheder blev afsløret med tjenesten i løbet af den sidste uge, og de fortsætter stadig.

Teknologi udvikler sig altid, og selvom det er beregnet til at forbedre vores livsstil, kan det undertiden endda være ødelæggende i tilfælde af, at visse fejl udnyttes, især når en tjeneste som LastPass, der er ansvarlig for at beskytte titusinder af adgangskoder, er bekymret.

Sidste uge, den 20. marts, afslørede Tavis Ormandy, en forsker ved Googles Project Zero, to bugs i LastPass 'browserudvidelser, der gjorde brugere sårbare over for fjernudførelse af kode.

De afslørede sårbarheder påvirkede både forretnings- og personlige brugere af tjenesten.

Sårbarheder afsløret i løbet af den sidste uge?

20. marts: Tavis Ormandy finder to sårbarheder med ekstern kodeudførelse (RCE), der påvirkede LastPass 'browserudvidelser - hvilket muliggør, at en angriber kan stjæle adgangskoder.

Ups, ny LastPass-fejl, der påvirker 4.1.42 (Chrome & FF). RCE, hvis du bruger "Binary Component", ellers kan stjæle pwds. Fuld rapport på vej. pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy (@taviso) 20. marts 2017

21. marts: LastPass anerkender Ormandys rapport og bekræfter, at sårbarhederne findes, og at deres team vil arbejde for at rette dem.

Vi er opmærksomme på rapporten fra @taviso, og vores team har bragt en løsning på plads, mens vi arbejder på en beslutning. Hold øje med opdateringer.

- LastPass (@LastPass) 21. marts 2017

22. marts: Virksomheden annoncerer, at de har frigivet nye versioner af Chrome (v 4.1.43) og Firefox (v 4.1.36) browserudvidelser med sikkerhedsopdateringer på plads.

De nævnte også, at ingen data blev kompromitteret mellem denne periode, og brugere behøver ikke at bekymre sig om at ændre deres legitimationsoplysninger. Opdaterede versioner af Microsoft Edge og Opera browserudvidelser frigives i afventning af virksomhedens godkendelse.

25. marts: Tavis Ormandy afslører en anden sårbarhed, som den opdaterede version af Google Chrome-browserudvidelsen står overfor (v 4.1.43). LastPass anerkender sårbarheden i en opdatering af deres meddelelse den 22. marts.

Ah-ha, jeg havde en epiphany i brusebad i morges og indså, hvordan man får codeexec i LastPass 4.1.43. Fuld rapport og udnyttelse undervejs. pic.twitter.com/vQn20D9VCy

- Tavis Ormandy (@taviso) 25. marts 2017

27. marts: LastPass udsendte en erklæring, ”Vi adresserer ikke aktivt sårbarheden. Dette angreb er unikt og meget sofistikeret. Vi ønsker ikke at afsløre noget specifikt om sårbarheden eller vores løsning, der kan afsløre noget for mindre sofistikerede, men uærlige parter. ”

Hvordan forbliver jeg sikker?

I øjeblikket har LastPass bekræftet, at det arbejder på at løse sikkerhedsproblemerne med deres service, og en fuld løsning kan forventes snart. I mellemtiden anbefales det, at LastPass-brugere skal følge de følgende forholdsregler.

• For at beskytte deres loginoplysninger anbefales brugere at deaktivere browserudvidelser i mellemtiden og starte websteder direkte fra LastPass Vault, indtil sårbarhederne er løst af virksomheden.
• Tænd for tofaktorautentisering for alle konti, der tilbyder muligheden, hvilket giver din konto et ekstra lag af sikkerhed, hvis en sårbarhed udnyttes af en hacker.
• Vær på udkig efter phishing-angreb. Klik ikke på links fra ikke-betroede kilder - folk, du ikke kender

Leder du efter alternativer til LastPass? Tjek de 3 bedste alternativer her.